SóProvas

ID
311989
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

É imprescindível que a política de segurança da informação, definida com base na realidade e na necessidade da organização, de seus colaboradores, de seu negócio e de sua infraestrutura de TI, seja divulgada, acompanhada, passe por análise crítica no que se refere aos controles estabelecidos e, principalmente, seja objeto de treinamento pelas equipes.

Alternativas
Comentários
  • Não vi a norma falando que a política de segurança da informação seja objeto de treinamento pelas equipes.
  • Ainda que a ABNT não fale sobre treinamento de equipes, fica claro que uma política de segurança da informação não pode prescindir disso.
  • 8.2 Durante a contratação
    8.2.2 Conscientização, educação e treinamento em segurança da informação
    Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções. (27002 p.28. grifo meu)

    Portanto, a política da empresa como um todo é alvo de treinamento, assim como a politica de segurança da informação.
  • Acho que o erro está em afirmar que é imprescindível  a ABNT NBR ISO/IEC 27002:2005 é de boas práticas, portanto não obriga o uso de seus objetivos de controle. 

  • Segundo a ISO 27002:2011,"5.1.1 Políticas para segurança da informação

    Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação."